Legitimidade e Funcionalidade
As pessoas que não estão atentas aos detalhes, podem pensar que a situação com o Bradesco é tecnologicamente mais segura do que com o disquete do Dr. Marcacini, quando na verdade, o contexto de confiabilidade em ambas situações é puramente social, e independe de tecnologia. O que realmente conta para a confiabilidade de uma certificadora, são os cuidados e controles que ela exerça sobre suas próprias operações, virtuais ou não. E o que é, para você, uma certificadora? É qualquer entidade à qual você atribua a função de lhe apresentar habitantes do mundo virtual. E o cerceamento do direito a esta atribuição pode vir de onde menos se espera.
A vantagem da logística da Verisign no plano global é enorme, mas no plano local não é definitiva, como pode parecer a quem confunde o cenário social com o tecnológico. Apesar do que digam abreviações espertas do que seja assinatura eletrônica ou certificado digital, não haverá certificadora, tecnologia ou lei que ajude alguém a constituir suas crenças semânticas públicas (1.2), que no plano global se tornam assaz delicadas. Senão, de que serve a alguém saber que o nome da empresa oferecendo contrato ou serviço, é seguramente "Ikal", "Encol", ou "Microsoft"? O que esses nomes significam? Como diz o criptógrafo Bruce Schneier, quem acha que a tecnologia irá resolver seus problemas, não conhece nem seus problemas nem a tecnologia[6].
Você não está tendo que responder se sabe mesmo quem é a Verisign, para acessar o Bradesco pela internet via SSL; mas implicitamente já aceitou como lei, para a sua janela do ciberespaço, tudo que o sistema operacional instalado no seu computador disser ou fizer. Embora o computador seja comandado pelos programas que você decide nele instalar, eles o fazem através de um sistema operacional, e precisam portanto obedecer suas leis. Aqui, é onde melhor cabem ofensas a garantias constitucionais.
O segmento da indústria de software dos sistemas operacionais para computadores pessoais é quase um monopólio, com modelo de negócio proprietário, de código fechado. Quem pagar para usá-lo não terá daí o direito de saber o que acontece por dentro dele, podendo conhecê-lo apenas na sua funcionalidade aparente, aquela das interfaces dos programas. Daí a dramaticidade da ação antitrust contra a Microsoft.
Por enquanto, interessa a este quase monopólio implementar os padrões abertos da criptografia assimétrica nos seus sistemas operacionais, pois interessa-lhe que a maioria dos servidores e programas pioneiros da internet com eles interoperem. E estes servidores e programas pioneiros são software livre, modelados naqueles padrões abertos.
Por isso, eu posso hoje instalar manualmente a chave pública da certificadora do Dr. Marcacini, ou do ditador, ou de um spammer, no chaveiro do meu browser no Windows, se assim desejar. E se o Windows estiver mesmo seguindo tais padrões, quando eu quiser gerar para mim um par de chaves assimétricas, a sua biblioteca criptográfica irá fazê-lo a partir de algum dado que terei eu mesmo originado, e de pronto armazenar sob senha a chave privada em meu HD, e enviar a chave pública a uma autoridade certificadora escolhida, para ser ali certificada.
Mas amanhã, pode ser que este quase monopólio já tenha penetrado o suficiente no segmento dos servidores, e decida garantir a lucratividade de suas parcerias. E passe a bloquear a instalação de browsers alheios, e a impedir a instalação de certificados auto-assinados pelos usuários de seus sistemas. Ou decida abandonar os padrões abertos da criptografia assimétrica, ou aqueles cujo expurgo não se faça notar, podendo até trair, sem muito risco, a presunção da crença sintática privada (2.1) daqueles que usem seus sistemas. No caso dos desvios que não se façam notar, sua opacidade sempre lhe deu a liberdade de entretê-los. A França que o diga, e precedentes não faltam[10]. Aqui a desculpa é a segurança. Mas a segurança de quem?
Estariam meus direitos de operar com certificados assinados pela certificadora de minha escolha sendo cerceados? Estaria a premissa de que só eu posso assinar digitalmente em meu nome, sob o risco de violação furtiva? Ainda não, porque, embora as licenças de uso de software proprietário criminalizem alterações ou investigações em seu código, e estes dominem hoje 95% das mesas de trabalho informatizadas, eu posso ainda escolher um sistema operacional livre, como o Linux, e inspecionar seu código-fonte para saber como ele gera meu par de chaves. E posso adaptar, se preciso for, o browser dele para aceitar, em seu chaveiro, os certificados que eu queira ali colocar. E mesmo que eu não faça nada disto, sei que ele é oferecido com as garantias da transparência e da adaptabilidade, fundamentais ao controle da confiança presumida.
As Leis
Mas será que terei mesmo esta opção? Por enquanto a tenho, mas deixarei de tê-la se a distribuição de software livre, como hoje ocorre, por exemplo sob a licença GPL, for criminalizada. E parece que a estratégia da Microsoft agora é esta. Quem deu o recado foi seu vice-presidente de estratégias avançadas, Craig Mundie, em palestra na Stern School of Business, da Universidade de Nova Iorque, em 3/05/01. Ele teria afirmado que a programação de código aberto criou software com maior perigo de segurança e instabilidade. E classificado o movimento do software livre como uma ameaça aos programas comerciais e aos direitos de propriedade intelectual corporativa.[7].
Aqui, temos mais um lance perigoso no jogo dos significados. O verbo proteger e seus sinônimos são transitivos indiretos. Protege-se alguém contra algo. Mas quando, numa interlocução, é proposto e aceito em conjugação incompleta, o ouvinte se põe no mesmo referencial de risco do falante, enquanto seus riscos podem estar em exata oposição, como aqui. Aceita quem quiser, o jugo desse poder de decretar a confiança alheia. Há até quem veja este poder emanar do dinheiro. Porém, tais falácias gramaticais seriam menos perigosas se viessem desacompanhadas. Junto com essas posturas corporativas públicas, temos sua ação nos bastidores, promovendo outras espertezas lingüisticas, mais contundentes, em novas leis para o virtual.
O grande apelo do software livre é justamente sua auditabilidade. A do código que implementa sua criptografia assimétrica, por exemplo, dá transparência a seus processos de geração de chaves, assinatura e verificação. E o que faz a indústria do software proprietário a respeito? Passa a chamar, em seus discursos de convencimento, qualquer processo autenticatório digital de assinatura eletrônica, e a decretar que a criptografia assimétrica é apenas tecnologia efêmera. Assinatura digital seria apenas uma das tecnologias para assinatura eletrônica, talvez já obsoleta. Isto é dito no mesmo diapasão em que se associa subliminarmente a habilidade em programação com a intenção de se cometer crimes digitais, no jogo dos significados do termo "hacker".
Três propostas de lei de assinatura eletrônica tramitam hoje no Congresso. Quero aqui apenas tecer breves comentários sobre uma delas, o projeto SF 672/99, aprovado pelo senado em 23/05/01. Este projeto é baseado no modelo da Uncitral, fruto de intenso lobby global de grandes corporações da indústria da informática. Seu artigo 7 prevê que deve valer, como substituto da assinatura de punho, o método de identificação que as partes concordarem que vale[8].
Quem serão as partes? A parte que propuser um método, certamente estará interessada em dividendos ou vantagens que lhe ofereçam a tecnologia escolhida. E um passarinho me diz que será, justamente, a parte cuja oferta de método se verá incontornável. E que métodos serão esses? Nada é dito. O Dr. Marcacini é da opinião que o projeto de lei 672/99 não trata de prova no meio eletrônico[11], mas o inciso II no seu artigo 4o. parece-me estar a decretar a eficácia probatória de métodos autenticatórios opacos, ainda desconhecidos:
Artigo 4.
"Questões relativas a matérias regidas por esta lei que nela não estejam expressamente disciplinadas serão solucionadas em conformidade, dentre outras, com os seguintes princípios gerais na qual ela se inspira:"
I- "Facilitar o comercio eletrônico externo e interno"
II- "Convalidar operações efetuadas por meio das novas tecnologias da informação;", etc.
Para leigos como eu, que tem no dicionário seu único recurso neutro para entender as leis, é dado ao termo "Convalidar" o seguinte significado [9]:
Tornar válido (um ato jurídico a que faltava algum requisito), em vista da superveniência de nova lei que aboliu exigência. Restabelecer a validade ou eficácia de ato ou contrato.
Se esta linguagem não estiver falando da eficácia probatória de métodos escolhidos pelas partes para autenticar documentos eletrônicos, de que mais poderia estar falando? Em minha limitada inteligência, guiada aqui apenas pela minha experiência, também limitada, em praticar e ensinar o quixotesco ofício de se analisar, planejar e gerir processos de segurança na informática, tal linguagem só poderia estar servindo a fins estranhos.
Desdenha-se o monumental esforço de duas gerações de pesquisadores da segurança computacional, que transmutou o espírito do artigo 129 em conceitos semióticos e descobertas de algoritmos que os materializam, e que sedimentou suas funcionalidades em padrões computacionais abertos, testados e oferecidos à sociedade, hoje um inestimável legado da conquista intelectual humana. Para que? Para abrir caminho ao comércio e à credibilidade de métodos autenticatórios proprietários, cuja verdadeira funcionalidade estará acobertada pelo manto protetor dos segredos industriais, com a chance de nos ser imposta por monopólios de fato, mesmo que irreconhecíveis de direito.
Neste vazio desdenhoso, forja-se com tal linguagem uma aura de confiabilidade pública para métodos autenticatórios opacos, construídos de promessas. Restaria, neste caso, especular a quem poderia interessar proteger a disseminação de mecanismos intocáveis, que permitam aos seus pretidigitadores produzir forjas perfeitas de declarações da vontade humana. E quem estaria, nesta manobra, sendo ludibriado pelo brilho de uma lógica avarenta. Uma lógica que emprega a palavra "tecnologia" como se fosse varinha de condão, nesse perigoso jogo de significados, a verdadeira batalha da revolução digital.
Conclusão
Enquanto o Congresso se arrasta na discussão sobre as leis de assinatura e comérico eletrônico o Poder Judiciário brasileiro terá o desafio de interpretar e criar jurisprudência para nossa sociedade, o Poder Executivo decide que o ritmo do Legislativo é prejudicial e se adianta. Fazendo uso do artigo 62 da CF para legislar sobre o tema, promulga a Medida Provisória 2200, em 28 de Junho de 2001. Apesar da MP inferir corretamente a definição jurídica de assinatura digital, perde-se em ambiguidades na conceituação de documento eletrônico e de sua validade jurídica, e introduz desequilíbrios abissais que causaram grande apreensão e desconforto na comunidade acadêmica, tanto na esfera do Direito quanto na esfera da ciência da computação dedicada à segurança na informática. Este desequilíbrio decorre daquela medida ater-se apenas à crença sintática implícita no conceito, monopolizando a pública e inviabilizando a privada.
Quem submete à caneta presidencial as reedições mensais da MP2200 tem, pelo menos, mostrado a intenção de aprender com os erros e críticas construtivas, apesar de seguir menosprezando o enorme e evitável risco de desequilíbrio para a segurança jurídica, representado pela monopolização da crença pública da certificação, tornando inauditável um processo que só pode se tornar confiável com auditabilidade externa. Não faz muito sentido comentar uma lei que muda a cada mês. Apesar disto, como contribuição ao debate, publiquei recentemente o artigo "Sobre a criação da ICP-Brasil", comentado cinco das dúvidas mais frequentes que tenho ouvido, acerca das possíveis interpretações da sua terceira reedição.
Permitam-me encerrar esta palestra com um comentário pessoal. Creio ser muito perigoso para a sociedade, particularmente no momento em que vivemos hoje, a aceitação passiva da autoridade do poder executivo para legislar sozinho, por meio de um mecanismo tão fluido e sem controles como o artigo 62 da Constituição Federal, sobre um assunto tão complexo, desconhecido e que permeia tantas áreas delicadas do Direito, sobre o qual tantos interesses de poder convergem. Precisamos ter a humildade para reconhecer que muito pouco sabemos sobre o que significa certificação digital numa rede global e aberta. O que nela exatamente autentica um par de chaves assimétricas?
Não sabemos como a certificação digital, um conceito que só tem dez anos, irá evoluir, e como o poder político dele se valerá para tentar consolidar seu controle sobre as conquistas humanistas da nossa civilização. A vinculação jurídica entre um processo sintático e a expressão da vontade humana é um salto gigantesco no escuro, sobre um vazio linguístico que vai desafiar os filósofos do Direito. Com o mesmo tipo de desafio que a esfinge mitológica lançaria aos transeuntes do portal para uma civilização globalizada, se ali estivesse, com a sentença: "decifra-me ou te devoro".
Bibliografia
[1]- C. Shannon: "Communication Theory of Secrecy Systems" Bell Systems Technical Journal Vol. 28, 1949, pp 656-715
[2]- W. Diffie & M. Hellman: "New Directions in Cryptography" IEEE Transactions on Information Theory, IT-22, Vol 6,
[3]- R. Rivest, A. Shamir & L. Adleman: "A Method for Obtaining Digital Signatures and Public Key Cryptosystems" Communications. of The Association of Computer Machinery Vol 21, No. 2, Feb 1978. pp 120-8
[4]- W. Ford & M. Baum: Secure Eletronic Commerce, Prentice Hall, 1997.
[5]- L. Lessig: Code, and Other laws of Cyberspace 1999, New York, Basic Books
[6]- Schneier, B.: Segredos e Mentiras Sobre Proteção na Vida Digital. Tradução Ed. Campus, Rio de Janeiro, RJ, 2001.
[7]- Info Exame: "Microsoft Declara Guerra ao Software Livre" 03/05/2001 http://www2.uol.com.br/info/aberto/infonews/052001/03052001-16.shl Consultado em 24/05/01
[8]- Senador Lúcio Alcântara: Projeto de Lei SF 672/99. Gabinete do Relator do projeto, Sen. José Fogaça. Senado Federal., 23/05/2001
[9]- Dicionário Aurelio: "Convalidar". Editora Nova Fronteira, 1989
[10]-P. A. D. Rezende: "Comentário à Coluna do Silvio Meira no Jornal da Tarde" http://www.cic.unb.br/docentes/pedro/trabs/freesoft.htm
[11]-P. A. D. Rezende & A. T. R. Marcacini: "Debate sobre Assinatura Digital com um professor de Direito Processual"
Parte 1: http://www.cic.unb.br/docentes/pedro/trabs/debate_oab1.htm
Parte 2: http://www.cic.unb.br/docentes/pedro/trabs/debate_oab2.htm